3'20" 읽기
- 2018년 GDPR(Genaral Data Protection Regulation 일반 데이터 보호 규정)이 시행
- 6천개 웹사이트중 90% 이상, 사용자에게 안 알리고 최소 하나의 데이터 스니펫을 남겨
- 평균적으로 제3자 스니펫의 절반이 사용자와 함께 하루 이상, 25%는 1년 이상 머물러

정부 웹사이트의 제3자 쿠키
G20 국가의 공식 웹사이트는 대부분 GDPR을 준수하지 않고 있다.

새로운 연구에 따르면 많은 G20 정부 웹사이트가 일반 데이터 보호 규정의 요구 사항과 달리 원치 않는 쿠키를 남긴다. 조사한 6천개 웹사이트 중 90% 이상이 사용자에게 알리지 않고 최소한 하나의 데이터 스니펫을 남긴다. 과학자들은 이것이 정부 및 국제기구 웹사이트의 데이터 보호 부족에 대해 더 많은 관심을 끌기를 바라고 있다. 

▲ 하나 이상의 쿠키를 요청하지 않은 상태로 남겨둔 정부 웹사이트의 비율이다. © Götze et al. / WebSci ’22

2018년 GDPR(Genaral Data Protection Regulation 일반 데이터 보호 규정)이 시행된 이후 웹사이트를 처음 방문하는 사람은 일반적으로 쿠키에 대한 언급으로 인사를 받는다. 이는 개인 데이터 처리가 사용자의 동의 없이 이루어지지 않도록 하기 위한 것이다(즉, GDPR 준수). 일부 웹사이트에서는 추적을 선택 해제하는 것이 상대적으로 쉽지만 사이트에서 방문자의 동의나 인지 없이 사용되는 쿠키뿐만 아니라 경험에 필수적이라고 말하는 쿠키가 있는 경우가 많다.

12만개의 URL 확인됨

베를린 공대(TU Berlin)의 Matthias Götze와 그의 팀은 최근 공식 정부 웹사이트에서 쿠키를 사용하는 형식과 데이터 보호 준수 방식을 조사했다. 이를 위해 그들은 모든 G20 회원국의 5,500개 웹사이트를 조사하고 거의 12만개의 URL을 조사했다. 또 EU, 유엔 등 국제기구 웹사이트 약 250개와 코로나19 관련 정보를 제공하는 공식 웹사이트 약 130개를 확인했다.

과학자들이 사용하는 브라우저는 웹사이트를 방문할 때 제공되는 모든 쿠키를 저장하지만 웹사이트와 상호 작용하지 않는 방식으로 설정되었다. 여기에는 쿠키 알림에 대한 응답으로 동의 또는 거부가 발생하지 않은 것도 포함된다. 그러한 파일이 저장된 경우 GDPR을 준수하지 않는다.

다양한 쿠키 카테고리

분석에서 연구원들은 다양한 유형의 데이터 조각을 구분했다. "방문한 웹사이트 자체에서 생성되는 자사 쿠키가 있는 반면 타사 쿠키는 일반적으로 내장된 콘텐츠를 통해 외부 행위자가 생성한다"라고 동료들이 설명했다. 마드리드에 있는 소프트웨어 연구소인 IMDEA의 Srdjan Matic는 "외부 주체가 다른 당사자를 대신해 쿠키를 생성하므로 그 출처를 알 수 없는 대필이 있다"고 말했다.

조사하는 동안 Götze의 팀은 마케팅 프로필을 만드는 데 자주 사용되는 제3자 스니펫과 소위 추적 쿠키의 비율에 특히 주의를 기울였다. 예를 들어, 회사는 더 많은 타겟 광고를 배치하는 데 사용할 수 있다. 추적기는 웹사이트를 방문할 때 사용자의 IP 주소, 브라우저 기록 또는 이전 구매를 기록하고 전달할 수 있기 때문에 데이터 보호법 측면에서 특히 의심스러운 것으로 간주된다. 

▲ 브라우저에 타사 쿠키(밝은 파란색) 또는 추적기(진한 파란색)를 배치한 웹사이트의 비율이다. © Götze et al. / WebSci ’22

사이트의 90%에 원치 않는 쿠키
연구 결과에 따르면 데이터 보호 의식이 있는 국가의 정부조차도 자체 규칙을 일관되게 준수하지 않고 있다. 평균적으로 설문에 응한 모든 웹사이트의 93%가 묻지 않고 최소한 하나의 쿠키를 설치했으며 일본은 페이지의 77%로 가장 낮은 값을 기록했다. 정부 웹사이트의 87%가 최소한 하나의 데이터 스니펫을 남기고 있는 가운데 독일은 여전히 ​​조사 대상 19개국 중 17위를 기록하고 있다. 반면 사우디아라비아와 인도네시아에서는 조사 대상 웹사이트가 단 한 곳도 그렇지 않은 웹사이트가 없었다.

조사 대상 국가가 일반적으로 볼 때 여전히 가깝지만 원치 않는 제3자 쿠키를 설치하는 웹사이트의 분포는 더 다양하다. 러시아 정부 사이트는 원치 않는 쿠키의 약 95% 점유율로 가장 높은 값을 제공했다. 연구원들은 "엄격한 데이터 보호 규정으로 유명한 독일을 조사하더라도 공식 웹사이트의 25% 이상이 타사 쿠키를 추가한다는 사실을 발견했다"라고 보고했다.

쿠키가 항상 일시적인 것은 아니다. 평균적으로 제3자 스니펫의 절반이 사용자와 함께 하루 이상 머물렀고 4분의 1은 1년보다 더 오래 머물렀다. 추적 쿠키는 대부분의 국가에서 발견되는 제3자 스니펫의 대부분을 구성한다고 과학자들은 보고했다. 두 가지 예외를 한국과 독일 웹사이트에서만 추적 쿠키가 절반 미만을 기여했다.

주로 Google 및 현지 대체 기업

추적기의 출처를 찾는 과정에서 Götze와 그의 팀은 YouTube와 함께 마케팅 제공업체 DoubleClick이 가장 큰 몫을 차지하는 Google 및 그 자회사를 반복적으로 발견했다. 외국 공급자에 대한 액세스가 제한된 국가에서만 Google 서비스 공급자가 더 낮은 위치에 있게 된다. 예를 들어 러시아에서 대부분의 추적 쿠키는 검색 엔진 Yandex에서 가져온다. 이 사이트는 널리 퍼져 있으며 Baidu는 중국 추적기의 가장 큰 부분을 제공한다.

그러나 Google의 지배에 대한 두 가지 다른 예외는 중부 유럽에서도 찾아볼 수 있다. 지금까지 프랑스 정부 웹사이트에서 가장 많이 추적되는 쿠키는 현지 트래픽 분석 서비스인 XiTi에서 제공되며 독일도 대안을 선택하고 있다. 이 국가에서 쿠키 소스 중 1위는 YouTube와 DoubleClick에 이어 Hamburger Company Etracker이다. 소프트웨어를 데이터 보호를 준수하는 Google Analytics 경쟁 제품으로 설명한다.

개선에 대한 희망

국제기구의 웹사이트를 조사한 결과 조금 더 나은 결과를 얻었다.
그들 중 95%는 요청 없이 최소한 하나의 쿠키를 설정했고 60%는 제3자, 52%는 추적 쿠키를 설정했다. Covid-19 정보 페이지를 분석할 때 상황은 비슷했다. 99%는 일반적으로 데이터 조각을 남겼고 62%는 다른 사람의 집에서, 60%는 추적기를 남겼다.

연구원들은 보고서를 통해 공식 정부 웹사이트의 데이터 보호 부족에 대한 주의를 환기시키고 이를 대중의 담론으로 만들기를 희망한다. IMDEA의 수석 저자인 Georgios Laoutaris가 지적했듯이 팀은 “정부가 앞마당을 우선시하고 그렇게 함으로써 좋은 모범을 보이도록 더 많은 압력을 가하고 싶다. 이렇게 하면 일반 데이터 보호 규정을 실행하는 것이 얼마나 중요한지 더 설득력 있게 보여줄 수 있다."
(WebSci '22: 14th ACM Web Science Conference 2022, 2022; doi: 10.1145/3501247.3531545)
출처: IMDEA 소프트웨어 연구소

[더사이언스플러스]

[저작권자ⓒ the SCIENCE plus. 무단전재-재배포 금지]